Netzwerklösungen, Webprogrammierung, Intranetlösungen, Datenbanken, Anwendungsprogrammierung und Systemsicherheit aus einer Hand in Bad Tölz / Oberbayern 
Systemsicherheit: Schutz vor Spam und seinen Folgen:

Wie man sich vor Spam und dessen Folgen schützen kann.

Systemsicherheit StartseiteInformationen zu unserem WebauftrittDruckbares LayoutKontakt
Stichwortsuche und Glossar:
          Home | Systemsicherheit | Webprogrammierung | Betriebssysteme | Netzwerk

 Systemsicherheit: Schutz vor Spam und seinen Folgen

 

Spam ist kein Kavaliersdelikt, sondern eine ernsthafte Bedrohung für die gesamte IT-Infrastruktur. Weltweit! Wir haben daher keine Mühen gescheut, Spam weitgehend von unserem Mailserver fernzuhalten. Unsere Kunden haben darüber hinaus noch die Möglichkeit empfangene Emails als Spam zu markieren. Diese landen dann auf unserer "Schwarzen Liste" und haben ab sofort keinen Zugang mehr zu unserem Mailserver. Diese und auch die weiteren Maßnahmen gegen Spam mögen sehr rigide erscheinen, aber wir weisen darauf hin, daß der Schaden, den Spam Tag für Tag verursacht, erheblich ist.

Was ist Spam?
Spam kann man am ehesten mit Flugblättern vergleichen, auf denen Werbung für in der Regel sehr zweifelhafte Produkte betrieben wird. Das kann im harmlosen Fall irgendeine dubiose Geldanlage sein (so naiv, ein Produkt, das auf eine solche Weise vertrieben wird, zu kaufen, kann doch eigentlich niemand sein - oder???), oft geht es aber um kriminelle Machenschaften, wie das Anbieten von hartem (Kinder-)Porno oder um das Verbreiten von Würmern, Viren bzw. Dialern. Dazu später mehr.

Was den Spam aber gründlich von Flugblättern unterscheidet, ist die pure Masse - man stelle sich einmal vor, man würde hunderte riesiger Containerschiffe voller Flugblätter über eine Kleinstadt ausschütten, dann würde man von oben wohl kein Häuserdach mehr sehen ... Und unten wäre es viel zu dunkel, um Flugblätter zu lesen ;=))

Eine ganz besonders böse Variante ist der "Rufmordspam" - mit einem gefälschten Mailheader wird eine Mail über den Rest der Welt verteilt, deren Inhalt den Inhaber der (natürlich gefälschten) Absenderadresse in ziemlich böse Schwierigkeiten bringt.

Oder das Date, die erotischen Ausschweifungen an einem Abend in der letzten Woche - solche Spams können leicht eine gesunde Ehe zerstören!

Eine weitere Spielart ist das Übertragen von sogenannten "Würmern", die sich auf dem befallen PC einnisten und von diesem aus wahllos Spam an alle Adressen, die sich im Adreßbuch befinden, verschicken. Dabei werden Sicherheitslücken in dem Mailprogramm eines namhaften Softwareherstellers ausgenutzt. Natürlich wird die Absenderadresse gefälscht (es ist dann meist der ahnungslose PC-Besitzer selbst), und der Wurm an jeden Spam angehängt um seine hemmungslose Vermehrung zu gewährleisten. Dies alles geschieht im Hintergrund, ohne daß das Opfer davon irgendetwas bemerkt.

Spam ist also nicht etwa das "geniale" Produkt eines kleinen, pickeligen Sonntagshackers, der ganz stolz darauf ist, mal 'nen "richtigen" Mailserver gehackt zu haben, sondern nicht mehr und auch nicht weniger als ein krimineller Akt, den man in seiner Schwere durchaus mit Einbruch oder Sabotage gleichsetzten könnte.
 
Wie funktioniert Spam?
Wenn oben genannter Sonntagshacker mit seiner "Leistung" prahlte, würde er sich in Fachkreisen schnell zur absoluten Lachnummer machen, denn die Technik, die hinter Spam steckt, ist "Dank" des sehr freizügigen SMTP denkbar einfach. Wie geht, weiß ein Informatik-Student schon in der ersten Vorlesung des ersten Semesters innerhalb der ersten 10 Minuten, also noch lange bevor er überhaupt gepeilt hat, was eine IP-Adresse ist.

Folgende Varianten sind denkbar:
  • Dummdreist: Ganz normal über seinen Provider an bekannte oder wahrscheinlich vorhandene Listen schreiben
  • Handarbeit: Einfach mit Telnet den SMTP-Dialog aufbauen, was in den Header kommt, ist dabei ziemlich wurscht. Hauptsache, die Absenderadresse fälschen und möglichst viele Adressaten. Als Mailserver zum Versand werden dann sogenannte "offene Relais" (open Relay) mißbraucht, die sich dann ganz selbstverständlich um die Weiterleitung kümmern.
  • Scriptgesteuert: Eine gewaltige Effizienzsteigerung erreicht man, wenn man oben genannten Dialog und die Auswahl der Adressaten automatisiert. In Perl geht das sehr schön und einfach.
  • Gießkanne: Ebenfalls scriptgesteuert diese Variante: Vor dem Klammeraffen eine willkürliche Kombination, dahinter bekannte Domains. Irgendwas wird man damit schon treffen, wenn man nur oft genug probiert.
  • Würmer: Sehr effizient: Man infiziert einen PC mit einem Wurm, der diesen dann zur Massenproduktion von Spam mißbraucht. So ein Wurm ist nicht allzuschwer zu programmieren, denn bestimmte Betriebssysteme und Emailprogramme scheinen dies regelrecht zu unterstützen.
 
Wie kann Spam erkannt werden?
Ein kurzer Blick auf die Betreff-Zeile und auf die Absenderadresse reicht dem Profi in der Regel schon.
Aber schaun wir mal genauer hin - meist ist es ganz einfach, Spam zu identifizieren:
  • Steht in der Betreffzeile so was wie ....
    • Geld schnell und leicht verdient / Make money fast
    • Want to boost your sales with ....
    • .... adult toys ....
    • .... V.|.A,G;R:A ....
  • Sieht die Absenderadresse etwa so aus ....
    • smtp2001soho@yahoo.com
    • temp@something.com
    • china9988@21cn.com
  • Werden zweifelhafte Produkte beworben?
  • Ist in der Mail nicht klar zu erkennen, wer diese verfaßt hat?
  • Kommen im Mailtext nebulöse Hinweise auf ein angeblich kürzlich stattgefundenes Date?
  • Befinden sich im Anhang ausführbare Dateien (.pif, .exe, .jpg.exe, .gif.scr o.ä.), deren Zweck nicht zu erkennen sind?
 
Welchen Schaden richtet Spam an?
Für den privaten Empfänger nur unnötige Downloadzeiten, falls er sich richtig verhält. Trotzdem ärgerlich! Falls nicht und er ein Attachment öffnet, dann kann's unter Umständen ganz schön teuer werden.
Sehr in Mode gekommen sind die sogenannten Dialer, die erheblichen Schaden anrichten können. Viren und Würmer können das Betriebssystem und auch den eigenen Ruf erheblich schädigen.

Für ein Unternehmen kann der Schaden durch Spam schon in ganz andere Dimensionen gehen. Folgendes kleine Rechnexempel soll das mal verdeutlichen:
Nehmen wir mal an, daß das Identifizieren einer Mail als Spam durchschnittlich etwa 20s (ich weiß, ein Vollprofi schafft das in weniger als 2 Sekunden...) dauert und jeder Mitarbeiter einer 6.000-köpfigen Crew täglich mit etwa 6 Spams belästigt wird. Dann kann man den direkten Schaden etwa wie folgt beziffern: 
  6 Spams           --->       2 min
* 6.000 Mitarbeiter --->     200 Stunden
* 22 Arbeitstage/M  --->   4.400 Stunden
* 40 Euro/h         ---> 176.000 Euro / Monat!!!

Kein Wunder also, daß die meisten Unternehmen äußerst restriktiv gegen Spam vorgehen. Zur Not auch auf Kosten ganzer Netzwerke, die den Firmen-Mailserver nicht mehr erreichen können.

Auch ISP's werden nicht unerheblich durch Spam geschädigt. Da wäre erst mal der nicht ganz unerhebliche Traffic, denn jede Mail muß ja an den Empfänger einzeln ausgeliefert werden. Besonders dumm gelaufen, wenn sein Mailserver als "Open Relay" mißbraucht wurde und ihn auf den Schwarzen Listen von ORBS & Co. wiederfindet. Dann wird sein Mailserver viele Mails gar nicht mehr ausliefern können, denn er ist bei sehr vielen Mailservern einfach ausgesperrt. Da hilft dann nur noch ein schnelles Beseitigen der Schwachstelle - also kein öffentliches Mail-Relaying mehr zulassen, und sich dann umgehend von ORBS & Co. nochmals überprüfen lassen. Unverständlicherweise findet man aber immer noch viele ISP's, denen das ziemlich wurscht ist.

 
Was kann man clientseitig gegen Spam unternehmen?
Fast gar nichts :=((
Denn der "Traffic" hat auf der Serverseite bereits stattgefunden, und der Spam ist bereits im Postfach seines Opfers gelandet.
Aber: Man kann den Müll per Webmail schon mal auf der Serverseite löschen und muß sich den Dreck nicht auch noch mühsam per Modem herunterladen. Sollte doch der eine oder andere Spam "durchrutschen", empfehlen sich folgende Verhaltensweisen, idealerweise in angegebenen Reihenfolge:
  1. Den Spam sofort löschen. Dann erübrigen sich alle weiteren Punkte.
  2. Neugierige sollten NIEMALS ein eventuell vorhandenes Attachment öffnen!!!
  3. Den Spam auf keinen Fall beantworten. Auch dann nicht, wenn unten steht "If this is an error please send an email to be removed. In the subject line type: Remove Me .... mail to: ....". Denn sonst hat der Spammer Ihre Mailadresse und legt dann erst richtig los!!!
 
Was kann man serverseitig gegen Spam unternehmen?
Hier schaut es schon etwas besser aus. Denn das Übertragen einer Mail beginnt mit einem einfachen SMTP-Dialog, bei dessem Beginn schon mal die IP-Adresse des "Anrufers" ermittelt wird. Ist diese IP schon mal "straffällig" geworden, dann wird der Dialog sofort abgebrochen, bevor es überhaupt zum kostenpflichtigen Traffic kommt. Was dann kommt, ist dann richtig kompliziert und kann nur noch mit einem Flußdiagramm präzise erklärt werden. Stark vereinfacht wird eine Mail, die auf einen gut gewarteten Mailserver aufschlägt, nach folgenden Gesichtspunkten abgeklopft:
  1. Ist die IP des Senders im DNS korrekt angegeben? Wenn nein --- tschüß ....
  2. Ist der Revers-Lookup konsistent? Wenn nein --- tschüß ....
  3. Ist die IP schon mal "aufgefallen"? Wenn ja --- tschüß ....
  4. Ist die Absenderadresse schon mal "aufgefallen"? Wenn ja --- tschüß ....
Ebenfalls empfehlenswert ist die Methode, "verdächtige" Netze ganz abzublocken, und von "außen" nur noch SMTP mit Authentifizierung zuzulassen.
Da geht schon eine ganze Menge Spam den Bach runter aber leider eben nicht alles. Wir arbeiten ständig an weiteren Verfeinerungen, um immer mehr Spam abzublocken, aber den hundertprozentigen Schutz wird es wohl nie geben. Denn die Damen und Herren Spammer sind auch sehr lernfähig.
 
Wie funktioniert der Spamschutz bei unserem Mailserver?
Alle Emails, die für unsere Kunden bestimmt sind, auch die "bösen", schlagen bei unserem Mailserver auf. Der Mailserver leitet die Mails nicht einfach kritiklos an die Mailboxes unserer Kunden weiter, sondern checkt die eingehende SMTP-Verbindung erst mal gründlich durch und verfährt nach folgendem Schema:
  1. SMTP-Connect
    Jeder Mail-Server im Internet kann grundsätzlich eine SMTP-Verbindung zu unserem Mailserver aufbauen um Email zuzustellen. Doch dann kommen die Hürden:
     
  2. IP-Adresse im DNS (DNS-Lookup)?
    Falls der ferne Mail-Server mit seiner IP-Adresse nicht im globalen und offiziellen DNS eingetragen ist, dann wird die SMTP-Verbindung sofort wieder abgebaut, und die Email kann nicht zugestellt werden. Dies ist meist dann der Fall, wenn Experimentier-Server für einen offiziellen Mail-Betrieb mißbraucht werden.
     
  3. Reverse-Lookup ?
    Ein weiterer Test betrifft die Konsistenz des DNS-Lookups im ersten Schritt. Der ermittelte Hostname wird wieder in eine IP-Adresse "zurückübersetzt" und das Ergebnis mit der IP-Adresse aus dem ersten Schritt verglichen. Stimmt diese nicht überein, dann wird die SMTP-Verbindung sofort wieder abgebaut, und die Email kann ebenfalls nicht zugestellt werden. Leider sind die Profis unter den Spammern schlau genug, sich billige "Wegwerfdomains" registrieren zu lassen (also so was wie dummy00001.net, dummy00002.net usw.) und betreiben auch ihre eigenen Nameserver, mit denen sie diese Domains korrekt auflösen. Diese Profis schaffen die ersten beiden Hürden leicht.
     
  4. IP-Adresse / Host in den RBL gelistet?
    Unser Mailserver überprüft, ob die IP-Adresse bzw. Hostname des fernen Mail-Server in öffentlichen "Schwarzen Listen" (RBL) enthalten ist, sprich, schon einmal irgendwo als Spammer aufgefallen ist. Wenn ja, dann wird die Verbindung mit einer Fehlermeldung abgebrochen, und die Email kann nicht zugestellt werden.
     
  5. IP-Adresse / Host gesperrt ?
    Unser Mailserver überprüft, ob die IP-Adresse bzw. Hostname des fernen Mail-Server in unserer "Schwarzen Liste" enthalten ist. Wenn ja, dann wird die Verbindung mit einer Fehlermeldung abgebrochen, und die Email kann nicht zugestellt werden. Diese Liste kann von unseren Kunden selbst gepflegt werden, in dem sie den Spam einfach an unsere Spam-Melde-Adresse weiterleiten.
     
  6. Empfängeradresse gesperrt ?
    Auch die Senderadresse wird in unserer "Schwarzen Liste" überprüft, und im Fall einer lokalen Sperre wird die Verbindung mit einer Fehlermeldung abgebrochen. Hier ist aber Fingerspitzengefühl angesagt. Denn die Absenderadresse eines Spams wird höchstwahrscheinlich gefälscht sein, und das Opfer kann nun keine legalen Mails an unsere Kunden schicken.
     
  7. Zustellung der email
    Wenn alle Überprüfungen erfolgreich absolviert sind, dann wird die Email in die Mailbox zugestellt. Außerdem erfolgt dann eine eventuelle weitere automatische Verarbeitung, z.B. Weiterleiten an andere Adressen, Abwesenheitsnotiz an Sender zurückschicken, Scannen nach verdächtigen Inhalten / Attachments, Überprüfung auf Viren usw.
     
  8. Mail-Relaying
    Noch ein Wort zum Mail-Relaying: Unsere Mailserver gestatten das Weitersenden von Emails an externe Email-Adressen grundsätzlich nicht! Denn das würde ein "Open-Relay" bedeuten, das von Spammern weitlich ausgenutzt wird und schon so manches System lahmgelegt hat. Außerdem landen "Open-Relays" schnell auf den RBL, so daß unser Mailserver bei vielen Firmen und Providern als Spammer verdächtigt und abgewiesen würden. Eine legale Zustellung von Emails an diese Adressen wäre dann nicht mehr möglich. Aus diesem Grund müssen sich auch unsere Kunden authentifizieren, wenn sie über unseren Mailserver Emails versenden möchten. Es gibt für das Relaying also nur zwei Ausnahmen von dieser Regel:
     
    1. Der Sender kann sich ausweisen (SMTP-Auth)
    2. Der Sender sitzt im LAN

nach oben
 

 
© 2003-2012 Hohmann-EDV | Stand: 2005-12-13 (spam.php) | unbekannt unbekannt / unbekannt